根据我的理解document.cookie只能获取您所在网站的Cookie。恶意网站是否可以通过使用iFrame,修改我的HTTP标头,向目标网站发出请求或其他方法来解决这个问题?
答案 0 :(得分:9)
执行此操作的一种方法是通过跨站点脚本攻击。 This简要概述了cookie偷窃如何与XSS协同工作。
答案 1 :(得分:5)
DNS Rebinding可用于绕过浏览器使用的同源策略(SOP),以防止一个网站读取其他网站数据,如cookie,dom等
Here是一个很棒的视频,可以了解它是如何工作的以及如何预防它。
答案 2 :(得分:2)
这些技术一般不起作用。 Iframes拒绝以编程方式访问属性,如页面内容和Cookie,以用于其他域上的页面。同样,Javascript HTTP请求只允许与请求页面在同一个域中。